Unsere Experten haben eine neue Backdoor entdeckt, die bereits von Internetkriminellen f\u00fcr gezielte Angriffe genutzt wird. Backdoor hei\u00dft \u00fcbersetzt Hintert\u00fcr und ist ein alternativer Zugang zu einer Software oder zu einem Hardwaresystem, der den normalen Zugriffsschutz umgeht. Die Backdoor namens Tomiris weist mehrere \u00c4hnlichkeiten mit der Sunshuttle-Malware (alias GoldMax) auf, die vom Bedrohungsakteur DarkHalo (alias Nobelium) in einem Angriff auf die Lieferkette von SolarWinds verwendet wurde.<\/p>\n
Die Hauptaufgabe von Tomiris besteht darin zus\u00e4tzliche Malware in die Zielger\u00e4te einzuschleusen. Die Backdoor stellt eine Verbindung zum Command-and-Control-Server der Internetverbrecher her und l\u00e4dt ausf\u00fchrbare Dateien herunter, um beliebige Befehle auf dem kompromittierten Rechner abzurufen und auszuf\u00fchren.<\/p>\n
Unsere Experten entdeckten au\u00dferdem eine Variante, die Dateien stiehlt. Die Malware suchte k\u00fcrzlich erstellte Dateien mit bestimmten Dateierweiterungen (.doc, .docx, .pdf, .rar usw.) aus und lud sie dann auf den Server hoch.<\/p>\n
Die Entwickler haben die Backdoor mit unterschiedlichen Funktionen ausgestattet, um Sicherheitstechnologien auszutricksen und Forscher in die Irre zu f\u00fchren. Beispielsweise bleibt die Malware bei der Lieferung die ersten 9 Minuten inaktiv \u2013 eine Verz\u00f6gerung mit der h\u00f6chstwahrscheinlich jeglicher Sandbox<\/a>-basierter Erkennungsmechanismus umgangen werden kann. Dar\u00fcber hinaus ist die Adresse des Command-and-Control-Servers nicht direkt in Tomiris codiert \u2013 die URL und die Port-Informationen stammen von einem Signaling-Server.<\/p>\n Zur Lieferung der Backdoor verwenden die Internetkriminellen DNS-Hijacking<\/a>, um den Traffic des Mail-Servers der Zielorganisation auf eine sch\u00e4dliche Website umzuleiten. (M\u00f6glicherweise wurden die Zugangsdaten f\u00fcr die Systemsteuerung auf der Seite des Domain-Name-Registrars gestohlen). Auf diese Weise werden die Kunden auf eine Seite weitergeleitet, die wie die echte Anmeldeseite des Maildienstes aussieht. Sobald jemand seine Zugangsdaten auf dieser gef\u00e4lschten Website eingibt, werden die vertraulichen Daten direkt an die Cyberverbrecher weitergeleitet.<\/p>\n Diese Art von Webseiten bitten die Benutzer auch gelegentlich ein Sicherheitsupdate durchzuf\u00fchren. In diesem Fall wurde bei der angeblichen Aktualisierung allerdings ein Downloader f\u00fcr Tomiris installiert.<\/p>\n F\u00fcr detailliertere Informationen zur Tomiris-Backdoor sowie zu den Indicators of Compromise (IoC, Gef\u00e4hrdungsindikatoren) und den Verbindungen von Tomiris und den DarkHalo-Tools, werfen Sie bitte einen Blick auf unseren Artikel in der Securelist<\/a>.<\/p>\n Die Liefermethode f\u00fcr die Malware, die oben beschrieben wurde, funktioniert nicht, wenn der Computer, der f\u00fcr den Zugriff auf die Web-Mail-Benutzeroberfl\u00e4che verwendet wird, mit einer robusten Sicherheitsl\u00f6sung<\/a> ausgestattet ist. Dar\u00fcber hinaus k\u00f6nnen die Aktivit\u00e4ten von APT-Akteuren (Advanced-Persistence-Threats) im Unternehmensnetzwerk fr\u00fchzeitig von Experten erkannt werden, die Kaspersky Managed Detection and Response<\/a> verwenden.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Auf der SAS-Konferenz 2021 sprachen unsere Experten \u00fcber die Tomiris-Backdoor, die vermutlich in Verbindung mit dem Bedrohungsakteur DarkHalo steht.<\/p>\n","protected":false},"author":2581,"featured_media":23813,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[522,3887,1332,3886,1344],"class_list":{"0":"post-27511","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-darkhalo","12":"tag-sas","13":"tag-sas-2021","14":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tomiris-backdoor\/27511\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tomiris-backdoor\/23437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tomiris-backdoor\/18910\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tomiris-backdoor\/9466\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tomiris-backdoor\/25503\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tomiris-backdoor\/23581\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tomiris-backdoor\/26156\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tomiris-backdoor\/31600\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tomiris-backdoor\/10112\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tomiris-backdoor\/42239\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/tomiris-backdoor\/15371\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tomiris-backdoor\/31733\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/tomiris-backdoor\/27661\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tomiris-backdoor\/29792\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tomiris-backdoor\/29591\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27511","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27511"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27511\/revisions"}],"predecessor-version":[{"id":27512,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27511\/revisions\/27512"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/23813"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27511"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27511"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27511"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie Tomiris auf die Computer gelangt<\/h2>\n
So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n